Zoho: Patch new ManageEngine bug exploited in attacks ASAP
2021/12/03 BleepingComputer — 今日、ビジネス・ソフトウェアを提供する Zoho は、Desktop Central および Desktop Central MSP を最新のバージョンにアップデートするよう顧客に呼びかけた。Zoho の ManageEngine Desktop Central は、管理者によるパッチやソフトウェアをネットワーク経由で自動的に展開し、リモートでトラブル・シューティングを行う管理プラットフォームである。
今回の警告は、パッチが適用されていない ManageEngine Desktop Central サーバー (Desktop Central Cloud は影響を受けない) において、攻撃者が認証を回避して任意のコードを実行する可能性がある、深刻な脆弱性 CVE-2021-44515 にパッチを適用した後のことである。
Zoho は、「この脆弱性が悪用される可能性があるため、可能な限り早急に最新のバージョンにアップデートすることを推奨する。Zoho の Exploit Detection Tool (エクスプロイト検出ツール) を用いれば、この脆弱性の悪用の有無を確認できる」と述べている。
なお、問題が生じている場合には、影響を受けたシステム上の全ての重要なビジネスデータをネットワークから切断し、バックアップした後に、侵害されたサーバーをフォーマットし、Desktop Central を復元し、インストールが終了したら最新のビルドに更新することを推奨している。また、侵害の兆候が見つかった場合は、Active Directory の管理者パスワードを含む、すべてのサービス・アカウントをリセットすべきだという。
Shodan で検索すると、3,200 以上の ManageEngine Desktop Central インスタンスが、様々なポートで動作しており、攻撃にさらされていることが判明している。
Zoho ManageEngine は継続的な標的
最近において、Zoho ManageEngine のサーバーが攻撃の対象になったのは、これが初めてのことではない。特に Desktop Central インスタンスは、2020年7月以降にハッキングされ、侵害されたネットワークへのアクセスが、ハッキング・フォーラムで販売されている。
KELA によると、これらのオファーの背後にいる脅威アクターたちは、世界中の企業のネットワークへのアクセスを販売しており、米国/英国/スペイン/ブラジルなどの企業にもアクセスできるようだ。
さらに最近では、2021年8月〜10月に、Zoho ManageEngine 製品が国家に支援されるハッカーに狙われたが、そこで用いられる戦術とツールは、中国をバックとするハッキング・グループ APT27 のものと同じだとされる。
この攻撃者は、8月初旬〜9月中旬に ADSelfService のゼロデイ・エクスプロイトを、10月下旬には AdSelfService の nデイ・エクスプロイト、10月25日からは ServiceDesk のエクスプロイトを使用するという3種類のキャンペーンで、世界中の重要インフラ組織のネットワークを侵害した。
これらのキャンペーンの後に、FBI と CISA は共同で勧告 (1, 2) を発表し、APT アクターが ManageEngine の脆弱性を悪用して、ヘルスケア/金融サービス/電子機器/IT コンサルティング業界などの、重要インフラ組織のネットワークに Web シェルをドロップしていると警告している。
また、FBI と CISA は、「攻撃者は、最初の侵害ポイントの痕跡を取り除き、脆弱性の利用と Web シェルの関係を隠すように設計された、クリーンアップ・スクリプトを実行すると認識されている。したがって、これらの攻撃における侵害の成功を確認することは困難である」としている。Zoho の広報担当者は、CVE-2021-44515 の脆弱性がワイルドに悪用されていることについて、BleepingComputer からの問い合わせにコメントを返していない。
この脆弱性 CVE-2021-44515 ですが、お隣のキュレーション・チームに聞いてみたら、12月8日にレポートされていますが、まだ NVD などは追いついていないようで、CVSS 値も見つかりませんでした。ただし、Zoho は Critical のフラグを立てているので、要注意です。Zoho で検索すると、一連のトピックが出てきます。よろしければ、ご参照ください。
IoT OT Security News 